Найти тему
AM Live
4032 подписчика

Как российским компаниям защищаться от целевых кибератак

6
5 мин
Оглавление

За последний месяц многие отечественные организации столкнулись с увеличением количества целевых кибератак. Можно ли считать такие нападения необъявленной кибервойной? Как эффективно защищаться от них в условиях ухода западных вендоров с рынка? Способен ли российский рынок информационной безопасности обеспечить все потребности заказчиков? Вырастет ли роль Threat Intelligence и какие инструменты наиболее актуальны для борьбы с целевыми атаками?

Содержание

  1. Введение
  2. Как отличить целевую атаку от обычной
  3. Практика защиты от целевых атак
  4. Актуальные инструменты для борьбы с целевыми атаками
  5. Роль Threat Intelligence в защите от целевых атак
  6. Как реагировать на целевые атаки
  7. Выводы

Введение

В последний месяц многие российские предприятия сталкиваются с целевыми атаками. С конца февраля их количество многократно увеличилось. Подобная криминальная активность не всегда имеет ярко выраженный таргетированный характер — чаще нападения ориентированы по региональной / отраслевой принадлежности. Однако известны случаи, когда целью злоумышленников являлись не отечественные компании в целом, а конкретные государственные и коммерческие организации. Досталось и западным брендам, работающим в России. В рамках специального выпуска онлайн-конференции AM Live мы поговорили с ведущими экспертами отрасли о том, как бороться с направленными киберкампаниями в условиях приостановки бизнеса многих иностранных вендоров и насколько серьёзную угрозу представляют подобные атаки для отечественных организаций.

В студии Anti-Malware.ru собрались:

  • Александр Русецкий, руководитель направления по защите от направленных атак, центр информационной безопасности компании «Инфосистемы Джет».
  • Игорь Чудин, руководитель направления кибербезопасности компании ITD Group.
  • Алексей Шульмин, эксперт по вредоносным программам, «Лаборатория Касперского».
  • Никита Панов, руководитель направления компьютерной криминалистики компании «Информзащита».
  • Игорь Залевский, руководитель отдела расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар».
  • Эльмар Набигаев, заместитель директора экспертного центра безопасности компании Positive Technologies (PT ESC).
  • Николай Домуховский, заместитель генерального директора по научно-технической работе компании УЦСБ.

Ведущий и модератор дискуссии: Алексей Лукацкий, бизнес-консультант по безопасности Cisco.

Как отличить целевую атаку от обычной

В начале беседы модератор предложил экспертам объяснить, корректно ли применять термин «целевая атака» применительно к тому шквалу атак, которые обрушились на российские организации в последнее время. Можно ли их все назвать целевыми, поскольку они направлены против определённого сегмента, или же нужно разделять их по типам? Имеет ли вообще смысл делить атаки на таргетированные и нетаргетированные или же это скорее маркетинг?

Игорь Залевский: 

— В контексте заданного вопроса и наших нынешних реалий, наверное, не имеет смысла об этом дискутировать. В данный момент все атаки, идущие на доменную зону RU, можно считать целевыми. Распознать, какие из них начались до определённой даты, а какие вызваны текущими событиями, не всегда возможно.

Алексей Шульмин: 

— Целевые атаки — это атаки направленные на конкретную организацию, когда атакующий знает, кого ему нужно «пробить»: конкретную цель или группу целей. В случае атак широкого спектра злоумышленникам, по большому счёту, не важно, где они окажутся: главное — попасть, а там уже «ориентироваться на местности».

Эльмар Набигаев: 

— Любая нецелевая атака может превратиться в целевую, поскольку существуют брокеры доступа, которые, получив доступ в организацию, продают его заинтересованным лицам. Компании, которая защищается, необходимо реагировать на любую атаку, неважно, целевая она или нет.

Игорь Чудин: 

— Нет смысла проводить чёткую границу между целевыми и нецелевыми атаками, поскольку в текущих реалиях для организации каждая атака будет целевой, даже если постфактум станет известно, что это была веерная кампания. Есть мнение, что APT-атакой можно считать проникновение с использованием уязвимости «нулевого дня», однако история показывает, что во многих целевых кампаниях применяют и очень старые инструменты.

Александр Русецкий:

— В настоящий момент мы превращаемся в полноценный полигон, поскольку риски, связанные с защитой облаков, вредоносным кодом в Open Source, удалённым доступом к инфраструктуре от вендоров и так далее, становятся реальностью. Мы находимся на периметре, где такие сценарии воплощаются в жизнь.

Николай Домуховский: 

— В русском языке термин «целевая атака» может употребляться в двух значениях, которые в английском обозначаются как «target» и как «goal»: компания или организация, как цель, на которую нападает злоумышленник, и цель самой атаки — то, ради чего он нападает. Если говорить о втором значении, то все атаки сейчас можно назвать целевыми, то есть их организаторы понимают, зачем они нападают, однако им не всегда важно, кого конкретно они взломают.

Никита Панов: 

— Если, например, злоумышленники объявляют в телеграм-канале об атаке на некую компанию и впоследствии по итогам расследования выясняется, что они действительно её атаковали, то мы имеем дело с целевой атакой. Если же список декларируемых целей более широк, то говорить о таргетированном нападении неправильно.

Эксперты сошлись во мнении, что происходящие в данный момент атаки можно назвать целевыми, а также отметили, что качественно техника нападений не изменилась, но их количество возросло многократно. При этом мотивация большинства атак поменялась: если раньше ключевой целью злоумышленников были деньги, то теперь компании очень часто сталкиваются с «хактивизмом», когда через взлом демонстрируется некая гражданская позиция. Так, в конце февраля хакеры взломали сайты ряда российских СМИ и опубликовали на них политически мотивированные призывы. 

Большинство зрителей прямого эфира знают о целевых атаках, но не сталкивались с ними в 2022 году. Об этом в ходе проведённого нами опроса сообщили 49 % респондентов. Ещё 34 % опрошенных подверглись таргетированной атаке и сумели отразить её собственными силами. Пострадали от направленных действий злоумышленников 5 % участников опроса. Ничего не слышали о целевых атаках 12 % наших зрителей.  

Рисунок 1. Сталкивалась ли ваша компания с целевыми атаками в этом году?

-2

Следующий наш вопрос зрителям AM Live звучал так: если вы сталкивались с целевыми атаками, то какие последствия испытали? Как оказалось, 19 % ответивших столкнулись с нарушением бизнес-процессов и технологических процедур. Ещё 10 % респондентов рассказали о простое инфраструктуры, а 7 % — об уничтожении или модификации данных. У 4 % участников опроса произошла утечка ценной информации, а 1 % понёс финансовые потери. Другие последствия атаки почувствовали на себе 16 % опрошенных. Затруднились с ответом 47 % зрителей онлайн-конференции.  

Рисунок 2. Если вы сталкивались с целевыми атаками, то какие последствия наступили от них?

-3

Продолжение обзора можно прочитать по этой ссылке.

Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Кибербезопасность
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Гаджеты и электроника
5,73 млн интересуются